Należy wskazać, że decyzja APD w żaden sposób nie stwierdza nielegalności samego systemu TCF. Co więcej, nie kończy całego procesu bowiem zapadła ona w I instancji i jest nieprawomocna. IAB Europe skorzysta z możliwości złożenia apelacji, gdyż niektóre stwierdzenia zawarte w uzasadnieniu decyzji są sprzeczne z wytycznymi Europejskiej Rady Ochrony Danych, np. w zakresie rozumienia administratora danych. Z uzyskanych przez nas informacji wynika również, że do tej pory istotna część decyzji APD była uchylana przez sądy belgijskie. – tłumaczy Xawery Konarski, starszy partner i współzałożyciel kancelarii Traple Konarski Podrecki i Wspólnicy.
Warto również wskazać, że decyzja nie dotyczy żadnego dostawcy, wydawcy czy platformy zarządzania zgodą. Oznacza to, że firmy korzystające z narzędzia TCF mogą dalej z niego korzystać.
Dyskusyjne jest stwierdzenie APD, że IAB Europe jest administratorem informacji o preferencjach użytkowników, a co za tym idzie odpowiada m.in. za podstawę prawną przetwarzania tych informacji. IAB Europe jest tylko organizatorem systemu TCF, a informacje te we własnym zakresie wykorzystują jego użytkownicy (np. wydawcy, czy dostawcy platform SSP, DSP oraz DMP).
– Nie mogło być intencją ustawodawcy, aby małe stowarzyszenie branżowe, które nawet nie angażuje się w przetwarzanie danych, o którym mowa, powinno być pociągnięte do odpowiedzialności za niezgodne z przepisami postępowanie podmiotów komercyjnych, które to robią. Nie mamy innego wyboru, jak tylko złożyć apelację. – komentuje Townsend Feehan, CEO, IAB Europe.
– Nawet jeżeli przyjąć, a co będzie jeszcze weryfikowane przez sąd, że zapisywane informacje o użytkownikach mają charakter danych osobowych, to szczególnie kontrowersyjne jest stanowisko organu belgijskiego, że IAB Europe – którego rola sprowadza się tylko do dostarczenia narzędzia TCF – jest administratorem danych w stosunku do zapisywanych w nim informacji o preferencjach użytkowników. IAB Europe nie wykorzystuje bowiem tych danych na własne cele, ale robią to użytkownicy systemu, którzy decydują o tym, jak te dane mają być przetwarzane. Rola IAB Europe przypomina więc np. dostawcę aplikacji bazodanowej dostarczanej klientom. Takie podmioty nie są traktowane jako administratorzy. Przyjęte przez organ belgijski stanowisko jest sprzeczne z rozumieniem „administratora danych” przez Europejską Radę Ochrony Danych (EROD). – dodaje Xawery Konarski.
Naruszenia ze strony IAB Europe, które zidentyfikował APD, mogą zostać naprawione w ciągu sześciu miesięcy. Niezależnie jednak od ostatecznego rozstrzygnięcia z pewnością cały proces będzie miał istotny wpływ na sposób funkcjonowania reklamy internetowej.
IAB Europe zapewnia, że będzie ściśle współpracować z APD i innymi organami ochrony danych w celu implementacji wszystkich niezbędnych wytycznych i mechanizmów monitorowania, aby zapewnić ciągłą użyteczność TCF na rynku, które ostatecznie zostanie zatwierdzone jako kodeks postępowania RODO.
Oryginalny komunikat IAB Europe dostępny jest TUTAJ.
System TCF – co to jest?
TCF dla internautów to w uproszczeniu system wyskakujących okienek (pop-up), które pojawiają się po wejściu na większość witryn w sieci. Dotyczą one udzielenia przez internatów zgody na przetwarzanie danych osobowych w postaci cookies (tzw. ciasteczek), w tym wyrażenie zgody na wyświetlanie spersonalizowanych reklam. Ich pojawienie się ma związek z unijnym rozporządzeniem o ochronie danych, które zaczęło obowiązywać 25 maja 2018 r.
Dla całego ekosystemu reklamowego TCF, uruchomiony w kwietniu 2018 r., ma olbrzymie znaczenie. Jest to dobrowolny standard open source, którego celem jest wspieranie firm w ich wysiłkach na rzecz zgodności z prawem UE w zakresie prywatności i ochrony danych. Zawiera minimalny zestaw najlepszych praktyk mających na celu zapewnienie, że gdy dane osobowe są przetwarzane, użytkownicy mają zapewnioną odpowiednią przejrzystość i wybór, a uczestnicy ekosystemu są informowani o preferencjach użytkownika. TCF umożliwia wydawcom zarządzanie zgodą (CMP) internauty oraz informowanie innych uczestników systemu, czy użytkownik udzielił im niezbędnych zezwoleń zgodnie z RODO.